如何轻松检测用户对DOM的操作?
当用户在任何现代浏览器中使用控制台时,他/她可以以开发者不想要的方式操纵DOM。
我有一个非常依赖DOM处于特定状态的Web应用程序,如果用户通过控制台对DOM进行任何操作,我希望得到通知。
答案:
编辑:
到目前为止,我收到的答案中似乎存在一些混淆。如上所述,在#2中指出,我了解大多数(如果不是全部)方法都可以被规避。
此外,这是一个内部工具,因此受VPN的保护。 此外,还进行服务器端检查。 但是,出于某些我无法详细说明的原因,我希望知道用户(数量很少)何时操作了DOM。
明确一下,这不是出于安全原因。 我在这里没有试图阻止恶意用户。 将其视为出于好奇心。
不要这样做。编写你的网站以不信任用户输入,并且不要关心用户做什么。如果提交无效输入,则拒绝它。这样每个人都会很高兴。
很容易认为你拥有用户的浏览器。但你并没有。它为你服务,但只在用户的意愿下。
如果你真的必须知道DOM何时被修改,而这似乎是一个非常脆弱的设计,那就计算校验和。在网站的批准功能的每个合法步骤之后,遍历你关心的DOM元素并记录它们的位置、值或其他你关心的内容。在间隔时间、验证时间或下一个UI交互中进行比较。这是唯一全面的、跨浏览器(包括旧浏览器)检测DOM更改的方法。现代浏览器提供了DOM突变事件(请参见Tim Down的答案以获取更多详细信息),但支持有限,而且显然将被另一个新东西取代。
最终,任何你所做的事情都不能阻止有决心打败你方案的人。如果有什么区别,用户可以使用Firebug复制浏览器的POST请求,调整它,并编写一个小程序来提交他自己的恶意POST请求。比起使你的网页看似防弹(因为它不会),更重要的是保护你的服务器免受恶意输入的攻击。
DOM变异事件在所有主流浏览器的当前版本中都可以使用,而且可以实现你想要的功能。以下内容将涵盖整个文档中常见的DOM修改:
function handleDomChange(evt) {
console.log("DOM changed via event of type " + evt.type);
}
document.addEventListener("DOMNodeInserted", handleDomChange, false);
document.addEventListener("DOMNodeRemoved", handleDomChange, false);
document.addEventListener("DOMCharacterDataModified", handleDomChange, false);
DOM变异事件最终将被最近Mozilla和WebKit浏览器中实现的变异观察器所取代。
DOMAttrModified来监视对style属性的更改(尽管我不确定特定事件的浏览器支持情况),但否则您可能需要通过document.stylesheets轮询现有的样式规则。 - Tim Down<div id='weather-widget' data-module-type='widget'>
<h1 data-module-name='weather'>Weather</h1>
<!-- etc etc -->
</div>
无论如何,我的配置对象将包含所有这些内容,例如模块类型、模块名称等等:
//Widget configuration object
var weatherWidgetConfig = {
type: 'widget',
name: 'weather'
}
我收到了很多回答,其中回答者提供了有关如何构建Web应用程序的建议。虽然这对某些读者可能有用,但这并没有回答问题。然而,一些人尝试着回答。我看到的最完整的答案是由@Keith给出的。唯一的问题是它未能通过“易用性”测试。
似乎正确的答案,正如一些人所说,是NO-无法轻松地检测用户的DOM操作。
最近我发现了一种名为“Selector Listener”的技术,它依赖于CSS来检测DOM更改。它无法在IE 9-中工作。将其应用于整个DOM听起来不是一个好主意,而是更适合使用特定的选择器。
更多细节可以在这篇博客文章中找到。